Intranet/Extranet -Topologie mit Suche?

Question

Ich habe ein Projekt, das die folgenden Anforderungen hat:

• Zwei funktionelle Bereiche: Intranet und Extranet
• Zwei Arten von Benutzern: Unternehmensnutzer und Partner (über Ansprüchenauthentifizierung, Anzeige für Unternehmensbenutzer und FBA für Partner)
• Unternehmensbenutzer haben Zugriff auf beide Bereiche
• Partner Benutzer haben nur Zugriff auf Extranet -Bereich

Meine Hauptfrage betrifft die Abfragetopologie. Ich habe die folgenden Anforderungen:

• Unternehmensbenutzer können weltweit von jedem Ort aus suchen (Intranet- oder Extranet -Suche führt zu Ergebnissen aus beiden Bereichen).
• Partner Benutzer können nur nach Extranet -Inhalten suchen
• Externale Apps und Dateifreigabe sind indiziert

Sicherheit ist ein wichtiger Bestandteil meiner Kundenanforderungen, daher möchte ich den Extranet -Webserver in eine DMZ einsetzen.

Haben Sie Ratschläge für ein solches Szenario?

Wenn ich nur einen Bauernhof erstelle, kann ich kein Web-Front-End im DMZ haben, das nur dem Extranet-Inhalt dient, nicht wahr?

Wenn ich zwei Farmen mit jeweils Suchdiensten erstelle, kann ich die Intranet -Suche einrichten, um Extranetinhalte zu kriechen. Aber in diesem Fall hat er, wenn ein Unternehmensbenutzer das Extranet aussucht, nur Ergebnisse aus dem Extranet, oder?

Wenn ich zwei Farmen erstelle und die Suchdienste der Intranet -Farm von der Extranet Farm aus nutze, wie kann ich dann sicherstellen, dass die Benutzer von Partnern nur aus dem Extranet -Bereich Ergebnisse erzielen, während Unternehmensbenutzer Ergebnisse von einem Ort von einem Ort erzielen? Was ist mit der Dateifreigabe ohne Sicherheitssatz?

Danke

Answer 1

Die Suche ist die Sicherheit. Das bedeutet, dass ein Intranet -Benutzer Hits sieht, auf die er zugreifen kann, und Extranet -Benutzer erhalten Hits mit dem, was er zugreift hat. Dies gilt auch für Dateifreigaben, da ACL auf dem Dateisystem festgelegt ist.

Beachten Sie, dass die Indexierung von Extranet -Inhalten, die FBA verwendet, durchgeführt werden muss, indem diese Webanwendung mit einer neuen Zone erweitert wird, die NTLM verwendet, oder der Indexer kann sie nicht indexieren. Da die Erweiterung von Web -Apps wirklich nur ein neuer IIS und ein AAM ist, befindet sich Ihr Weg für Extranet -Hits für Ihre Extranet -Site, nicht an der erweiterten internen Adresse.

Answer 2

Das Ausführen einer dedizierten Umgebung im DMZ ist keine wünschenswerte Option. Ich würde die folgende Topologie bauen:

• Webanwendung (Intranet)
  • https://intranet.company.com
• Webanwendung (Extranet)
  • https://extranet.company.com
• Webanwendung (Suche)
  • https://search.company.com

Verwenden Sie einen Reverse -Proxy wie TMG, um die URLs im Internet zu veröffentlichen. Im Allgemeinen würde ich empfehlen, auch das Intranet zu veröffentlichen und nur für URL zu verwenden, das innerhalb des Unternehmens und außerhalb der Komanie arbeitet.http://msdn.microsoft.com/en-us/library/gg430121(v=office.12).aspx

Die Suchanmeldung ist für alle Benutzer gültig (Ansprüche -Anzeigen- und Ansprücheformulare). Die indizierten Inhalte aus den Fileshares werden nicht für die Ansprüche von Nutzern angezeigt, da sie nicht in ACL von AD AD AD behandelt werden, sodass die Benutzer keine Chance haben, dass die Benutzer Ergebnisse aus der Aktie sehen.

Wenn mehr Teilung erforderlich ist, können Sie die Suche teilen und verschiedene Suchbereiche erstellen, um Inhalte zu isolieren und das Corrreponding -Suchzentrum zu konfigurieren, um nur den erforderlichen Bereich zu verwenden.http://technet.microsoft.com/en-us/library/ee792872.aspx

Wenn Sie keine dedizierte Such -Webanwendung möchten, können Sie das Suchzentrum in der entsprechenden Web -App hosten. Der Benutzer kann jedoch durch die Tatsache, dass 2 Suchzentren existieren, verwirrt sein. Ich würde empfehlen, ein primäres Suchzentrum für alle zu verwenden.